描述：

HTTP響應拆分漏洞，也叫CRLF注入攻擊。CR、LF分別對應回車、換行字符。
 

HTTP頭由很多被CRLF組合分離的行構成，每行的結構都是“鍵：值”。如果用戶輸入的值部分注入了CRLF字符，它有可能改變的HTTP報頭結構。
 

危害：

攻擊者可能注入自定義HTTP頭。例如，攻擊者可以注入會話cookie或HTML代碼。這可能會進行類似的XSS（跨站點腳本）或會話固定漏洞。

解決方法：

限制用戶輸入的CR和LF，或者對CR和LF字符正確編碼后再輸出，以防止注入自定義HTTP頭。